A medida que las empresas continúan cambiando sus operaciones al navegador, los equipos de seguridad enfrentan un creciente conjunto de desafíos cibernéticos. De hecho, más del 80% de los incidentes de seguridad ahora se originan en aplicaciones web a las que se accede a través de Chrome, Edge, Firefox y otros navegadores. Un adversario de evolución particularmente rápido, Spure Spider, ha hecho su misión causar estragos en las empresas al dirigirse específicamente a datos confidenciales en estos navegadores.
La araña dispersa, también conocida como UNC3944, la tempestad de octo o Libra confundida, ha madurado en los últimos dos años a través de la orientación de precisión de los entornos de identidad humana y navegadores. Este cambio los diferencia de otros cybergangs notorios como el Grupo Lazarus, Fancy Bear y Revil. Si la información confidencial como su calendario, credenciales o tokens de seguridad está viva y bien en las pestañas del navegador, la araña dispersa puede adquirirlos.
En este artículo, aprenderá detalles sobre los métodos de ataque de Spider dispersos y cómo puede detenerlos en sus pistas. En general, esta es una llamada de atención a los CISO en todas partes para elevar la seguridad del navegador de la organización de un control auxiliar a un pilar central de su defensa.
Dispersó la cadena de ataque centrada en el navegador de Spider
La araña dispersa evita el phishing de alto volumen a favor de la explotación de precisión. Esto se hace aprovechando la confianza de los usuarios en su aplicación diaria más utilizada, robando credenciales guardadas y manipulando el tiempo de ejecución del navegador.
- Trucos de navegador: Técnicas como las superposiciones de navegador en el navegador (BITB) y la extracción de autos de relleno se utilizan para robar credenciales mientras evaden la detección por herramientas de seguridad tradicionales como la detección y respuesta de punto final (EDR).
- Robo de token de sesión: La araña dispersa y otros atacantes pasarán por alto la autenticación de factores múltiples (MFA) para capturar tokens y cookies personales de la memoria del navegador.
- Extensiones maliciosas e inyección de JavaScript: Las cargas útiles maliciosas se entregan a través de extensiones falsas y ejecutan dentro del navegador a través de técnicas de transmisión y otros métodos avanzados.
- Reconocimiento basado en el navegador: Las API web y el sondeo de las extensiones instaladas permiten a estos atacantes obtener el mapa de acceso de los sistemas internos críticos.
Para obtener un desglose técnico completo de estas tácticas, ver Araña dispersa dentro del navegador: hilos de compromiso de seguimiento.
Seguridad estratégica de la capa de navegador: un plan para CISOS
Para contrarrestar la araña dispersa y otras amenazas avanzadas del navegador, CISOS debe utilizar una estrategia de seguridad del navegador de varias capas en los siguientes dominios.
1. Detener el robo de credenciales con protección de script de tiempo de ejecución
Los ataques de phishing han existido durante décadas. Los atacantes como la araña dispersa, sin embargo, han avanzado sus técnicas diez veces en los últimos años. Estas campañas de phishing avanzadas ahora dependen de las ejecuciones maliciosas de JavaScript que se ejecutan directamente dentro del navegador, evitando herramientas de seguridad como EDR. Esto se hace para robar credenciales de usuario y otros datos confidenciales. Para bloquear con éxito las superposiciones de phishing e interceptar patrones peligrosos que roban credenciales, las organizaciones deben implementar la protección de tiempo de ejecución de JavaScript para analizar el comportamiento. Al aplicar dicha protección, los líderes de seguridad pueden evitar que los atacantes obtengan acceso y roben credenciales antes de que sea demasiado tarde.
2. Prevenir las adquisiciones de cuentas mediante la protección de las sesiones
Una vez que las credenciales de los usuarios entran en las manos equivocadas, atacantes como Spattered Spider se moverán rápidamente para secuestrar sesiones previamente autenticadas robando cookies y tokens. Asegurar la integridad de las sesiones de navegador se puede lograr mejor restringiendo que los scripts no autorizados obtengan acceso o exfiltren estos artefactos sensibles. Las organizaciones deben hacer cumplir las políticas de seguridad contextuales basadas en componentes como la postura del dispositivo, la verificación de identidad y la confianza de la red. Al vincular los tokens de sesión con el contexto, las empresas pueden evitar ataques como adquisiciones de cuentas, incluso después de que las credenciales se hayan comprometidas.
3. Hacer cumplir la gobernanza de la extensión y bloquear los guiones deshonestos
Las extensiones de navegador se han vuelto extremadamente populares en los últimos años, con Google Chrome con Más de 130,000 Para descargar en la tienda web de Chrome. Si bien pueden servir como refuerzos de productividad, también se han convertido en vectores de ataque. Las extensiones maliciosas o mal examinadas pueden solicitar permisos invasivos, inyectar scripts maliciosos en el navegador o actuar como el sistema de entrega para las cargas útiles de ataque. Las empresas deben hacer cumplir una gobernanza de extensión sólida para permitir extensiones preaprobadas con permisos validados. Igualmente importante es la necesidad de bloquear los scripts no confiables antes de que se ejecuten. Este enfoque asegura que las extensiones legítimas permanezcan disponibles, por lo que el flujo de trabajo del usuario no se interrumpe.
4. Interrumpir el reconocimiento sin romper los flujos de trabajo legítimos
Los atacantes como la araña dispersa a menudo comenzarán los ataques a través del reconocimiento del navegador. Lo hacen utilizando API como WEBRTC, CORS o huellas digitales para mapear el entorno. Esto les permite identificar aplicaciones de uso frecuente o rastrear el comportamiento específico del usuario. Para detener este reconocimiento, las organizaciones deben deshabilitar o reemplazar las API confidenciales con señuelos que entregan información incorrecta al grupo de ataque. Sin embargo, se necesitan políticas adaptativas para evitar la ruptura de los flujos de trabajo legítimos, que son particularmente importantes en los dispositivos BYOD y no administrados.
5. Integrar la telemetría del navegador en inteligencia de seguridad procesable
Aunque la seguridad del navegador es la última milla de defensa para los ataques sin malware, integrarla en una pila de seguridad existente fortalecerá toda la red. Al implementar registros de actividad enriquecidos con datos del navegador en plataformas SIEM, SOAR e ITDR, CISOS puede correlacionar los eventos del navegador con actividad de punto final para una imagen mucho más completa. Esto permitirá a los equipos de SOC obtener respuestas de incidentes más rápidas y un mejor apoyo a las actividades de caza de amenazas. Hacerlo puede mejorar los tiempos de alerta en los ataques y fortalecer la postura general de seguridad de una organización.
Casos de uso de seguridad del navegador e impactos comerciales
La implementación de la protección del navegador-nativo ofrece beneficios estratégicos medibles.
| Caso de uso | Ventaja estratégica |
| Phishing y prevención de ataque | Detiene el robo de la credencial del navegador antes de la ejecución |
| Gestión de extensiones web | Control de instalaciones y solicitudes de permiso de extensiones web conocidas y desconocidas |
| Habilitación segura de Genai | Implementa el acceso adaptativo, basado en políticas y consciente de contexto a herramientas de IA generativas |
| Prevención de pérdida de datos | Asegura que no hay datos corporativos expuestos o compartidos con partes no autorizadas |
| BYOD y seguridad del contratista | Asegura dispositivos no administrados con controles por navegador por sesión |
| Refuerzo de confianza cero | Trata a cada sesión del navegador como un límite no confiable, validando el comportamiento contextualmente |
| Conexión de aplicación | Asegura que un usuario se autentique correctamente con los niveles correctos de protección |
| Seguro acceso remoto a SaaS | Permite una conexión segura a aplicaciones SaaS internas sin la necesidad de agentes o VPN adicionales |
Recomendaciones para el liderazgo de seguridad
- Evaluar su postura de riesgo: Use herramientas como el navegadorTotal ™ Para determinar dónde se encuentran las vulnerabilidades del navegador en su organización.
- Habilitar la protección del navegador: Implemente una solución que sea capaz de protección de JavaScript en tiempo real, seguridad del token, supervisión de extensión y telemetría a través de Chrome, Edge, Firefox, Safari y todos los demás navegadores.
- Definir políticas contextuales: Haga cumplir las reglas sobre las API web, la captura de credenciales, la instalación de extensiones web y las descargas.
- Integre con su pila existente: Feed Telemetry de amenaza habilitada para el navegador en herramientas SIEM, SOAR o EDR que ya usa diariamente. Esto enriquecerá sus capacidades de detección y respuesta.
- Educar a su equipo: La seguridad del navegador de cemento como principio central de su arquitectura de confianza cero, protección SaaS y acceso a BYOD.
- Prueba y valida continuamente: Simule ataques reales basados en el navegador para que pueda validar sus defensas y aprender dónde pueden estar sus puntos ciegos.
- Endurecer el acceso de identidad entre los navegadores: Ponga una autenticación adaptativa en su lugar que valida continuamente la identidad dentro de cada sesión.
- Auditar regularmente las extensiones del navegador: Desarrolle procesos de revisión para realizar un seguimiento de todas las extensiones en uso.
- Aplicar el menor privilegio a las API web:
- Restringir las API del navegador sensible a las aplicaciones comerciales que las requieren.
- Automatizar la caza de amenazas del navegador: Aproveche la telemetría del navegador e integre los datos con su pila existente para buscar patrones sospechosos.
Pensamiento final: los navegadores como el nuevo perímetro de identidad
El grupo de arañas dispersas personifica cómo los atacantes pueden evolucionar sus tácticas de dirigirse a un punto final a centrarse en la aplicación más utilizada de la empresa, el navegador. Lo hacen para robar identidades, hacerse cargo de las sesiones y permanecer dentro del entorno de un usuario sin dejar rastro. Los CISO deben adaptarse y usar controles de seguridad nativos del navegador para detener estas amenazas basadas en la identidad.
Invertir en una plataforma de seguridad sin fricción y consciente de tiempo de ejecución es la respuesta. En lugar de ser reaccionarios, los equipos de seguridad pueden detener los ataques en la fuente. Para todos los líderes de seguridad, la protección del navegador Enterprise no solo funciona para mitigar a los atacantes como una araña dispersa; Fortifica la ventana a su empresa y actualiza la postura de seguridad para todas las aplicaciones SaaS, el trabajo remoto y más allá.
Para obtener más información sobre los navegadores empresariales seguros y cómo pueden beneficiar a su organización, Habla con un experto serfrado.
